あらゆるものがつながる世界でセキュアなアクセスを実現するMicrosoft Entra　（2022/6/1、ニュースリリース）

※米国マイクロソフトからブログ更新のお知らせがニュースリリースで来ました！

+++++
あらゆるものがつながる世界でセキュアなアクセスを実現するMicrosoft Entra
+++++

“Secure access for a connected world—meet Microsoft Entra - Microsoft Security Blog”の抄訳を基にしています。
https://www.microsoft.com/security/blog/2022/05/31/secure-access-for-a-connected-worldmeet-microsoft-entra/

Joy Chik
Corporate Vice President, Microsoft Identity

Vasu Jakkal
Corporate Vice President,
Security, Compliance, Identity, and Management

デジタル上での体験やインタラクションがすべて信頼できるものであったら、この世界は何を達成できるでしょう？

この疑問がきっかけとなり、マイクロソフトはIdentityやアクセスについて異なる考え方をするようになりました。そして本日、マイクロソフトは、あらゆるものがつながる世界でセキュアなアクセスを実現するにはどのような支援ができるかについて、拡張したビジョンを発表します。

Microsoft Entra https://www.microsoft.com/ja-jp/security/business/microsoft-entra は、マイクロソフトのIdentity機能とアクセス機能を網羅する新しい製品群です。
Entra製品群の中には、Azure ADのほかに、Cloud Infrastructure Entitlement Management（CIEM）および分散型 Identityという2つの新しい製品カテゴリーが含まれています。
Entra製品群は、Identityおよびアクセス管理、クラウドインフラのエンタイトルメント管理、本人確認などを通じて、誰もが何に対しても安全にアクセスできるよう支援します。

■ハイパーコネクテッドワールドにおける信頼の必要性

テクノロジは私たちの生活を驚くほどさまざまな形で変えてきました。人との交流や仕事の仕方、新しいスキルを育成する方法、ブランドとの関わり方、そして健康管理の方法まで再形成したのです。
また、テクノロジはビジネスの手法を再定義し、既存のニーズに全く新たな手法で対応するとともに、体験や質、スピード、コストの管理を向上させてきました。

こうしたイノベーションの舞台裏では、人やマシン、アプリ、デバイスなどの間で毎秒数百万もの接続が発生しており、それによってデータの共有やデータへのアクセスが可能になっています。このようなインタラクションによって、テクノロジや人との関わり方に刺激的な機会が生まれています。一方で、それと同時に人やデータの脆弱性への攻撃対象もいっそう拡大しており、対処が求められています。

デジタル化への取り組みを進める上で組織がこうしたリスクに対処することは、ますます重要、かつ困難になってきています。不正アクセスを恐れることなくイノベーションを進められるよう、
障壁を取り除かなくてはなりません。デジタル体験やサービスだけでなく、組織を支えている人、マシン、マイクロサービス、モノといったあらゆるアクセスポイントで発生するすべてのデジタルインタラクションに信頼を定着させる必要があるのです。

■Identityとアクセスに対するマイクロソフトの拡張ビジョン

世の中がよりシンプルだった頃は、デジタルアクセスを制御することも比較的簡単でした。
境界線を設定し、適切な人のみアクセスできるようにすればよかったのです。

しかし、それではもはや持続可能ではありません。組織のデジタル資産が拡大して変化し、境界がなくなりつつある中で、すべてにゲートを設けることはできないのです。
組織とそのサプライチェーン全体で発生するであろう無限のアクセスシナリオを予測して対処することなど事実上不可能です。特に、組織の管理外にあるサードパーティーシステムやプラットフォーム、アプリケーション、デバイスなどが含まれている場合はなおさらです。

Identityといってもそれは単にディレクトリのことではありませんし、アクセスといってもネットワークだけのことではないのです。
セキュリティの課題ははるかに広範囲にわたるため、より幅広いソリューションが必要です。
あらゆるお客様やパートナー、従業員のアクセスを保護するだけでなく、マイクロサービス、センサー、ネットワーク、デバイス、データベースなどへのアクセスもすべて安全に保たなくてはなりません。

しかも、こうしたセキュリティの担保はシンプルに行う必要があります。
組織は、問題の一部しか解決できなかったり、一部の環境でしか機能しなかったり、連携するにはガムテープと風船ガムが必要だったりするような、不完全でばらばらなソリューションを扱いたいとは考えません。アクセスに関する決定事項は、できるだけきめ細やかで、リアルタイムのリスク評価に基づいて自動的に適応されなくてはなりません。
それがすべての環境で求められるのです。オンプレミスやAzure、Amazon Web Services、Google Cloud Platform、アプリ、ウェブサイト、デバイスなど、ここに挙げたすべてはもちろんのこと、
次に来るものに対しても同様の対応が求められています。

それがIdentityとアクセスに対するマイクロソフトの発展的なビジョンであり、新たな製品群Microsoft Entraが提供するものです。

■ビジョンの実現に向けて：信頼の基盤としてのIdentity

このビジョンを実現するには、Identity自体に進化が必要です。現在の相互接続された世界では、人や組織、アプリはもちろん、スマートなモノまでもが自信を持ってリアルタイムでアクセス権を
決定できるよう、柔軟で迅速なモデルが求められます。お客様が直面するすべてのシナリオをサポートできるよう、機能を構築し拡張していかなくてはならないのです。

今後もマイクロソフトはIdentityおよびアクセスのソリューションを拡張し、現在から将来にわたってこれらのソリューションがすべてのデジタルエコシステムにおける信頼の基盤となるようにしていく考えです。

Microsoft Entraは、あらゆるタイプのIdentityを検証するほか、すべてのリソースへのアクセスを保護し、管理し、ガバナンスを実現します。新しいMicrosoft Entra 製品群では、次のような機能が提供されます：

・あらゆるユーザによる、あらゆるアプリやリソースへのアクセスを保護します。
・ハイブリッド環境やマルチクラウド環境全体で、すべてのIdentityを保護し、検証します。
・マルチクラウド環境におけるアクセス権限を検出し管理します。
・リアルタイムでインテリジェントにアクセス権の決定を下し、ユーザエクスペリエンスを簡素化します。

これは、Identityとアクセスへのニーズに対応する包括的な製品群を提供するにあたっての重要なステップで、今後も当社ではMicrosoft Entra 製品群を拡張していく予定です。

「Identityは、将来のサイバーセキュリティにおける基礎となるものです」
—トーマス・ミュラー-リンチ（Thomas Mueller-Lynch）Service Owner Lead for Digital Identity—Siemens 　　
https://customers.microsoft.com/en-us/story/1422734606465483530-siemens-manufacturing-security

■Microsoft Entraの概要

当社の主要なIdentityおよびアクセス管理（IAM）製品であるMicrosoft Azure Active Directory（AD）
https://www.microsoft.com/en-us/security/business/identity-access/azure-active-directory は、Microsoft Entra製品群の一部となり、これまでお客様に親しまれ愛されてきた条件付きアクセス https://www.microsoft.com/ja-jp/security/business/identity-access-management/conditional-access-azure-ad?rtc=1 やパスワードレス認証 https://www.microsoft.com/ja-jp/security/business/identity-access-management/passwordless-authentication?rtc=1 などの機能は変更されることはありません。
Azure AD External Identities https://azure.microsoft.com/ja-jp/services/active-directory/external-identities/ は、今後もお客様やパートナーに向けたIdentityソリューションとして、Microsoft Entra製品群より引き続き提供されます。

また、Entra製品群の一環として、複数の製品イノベーションの発表につながる新ソリューションを追加します。

■クラウド間でのアクセスリスクを軽減

マルチクラウドの採用により、パブリッククラウドプラットフォーム全体でIDや権限、リソースが大幅に増加しました。大半のIDは過剰にプロビジョニングされており、それによって組織の攻撃対象が拡大して事故や不正の承認誤用リスクが高まります。
クラウドプロバイダー全体を可視化するか、一貫したエクスペリエンスを提供するツールがなければ、Identityチームとセキュリティチームが権限を管理し、デジタル資産全体で最小特権の原則を適用することは非常に困難になってしまいます。

マイクロソフトは昨年CloudKnox Securityを買収し、Cloud Infrastructure Entitlement Management（CIEM）ソリューションを提供する初の大手クラウドプロバイダーとなりました。そのCIEMソリューションが、Microsoft Entra Permissions Management https://www.microsoft.com/ja-jp/security/business/identity-access/microsoft-entra-permissions-management です。
同ソリューションは、マルチクラウドインフラ全体におけるすべて（ユーザとワークロード双方）のIDや、アクション、リソースに対するアクセス権限を包括的に可視化します。
また、未使用や過剰なアクセス権限を検出し、適切なサイジングを施して監視するほか、Microsoft Azure、Amazon Web Services、およびGoogle Cloud Platformにて最小権限アクセスの原則を適用し、データ漏えいのリスクを軽減します。Microsoft Entra Permissions Managementは、今年7月より全世界で一般提供される唯一の製品で、Defender for Cloudダッシュボードに統合されます。
これにより、Microsoft Defender for Cloudの保護機能がCIEMにも拡張されます。

また、Microsoft EntraのワークロードID Identity https://www.microsoft.com/ja-jp/security/business/identity-access-management/workload-identity-management?rtc=1 管理のプレビューにより、Azureでホストされているすべてのアプリケーションやサービスに対してIdentityを割り当て保護できるようになります。

■プライバシーを尊重する安全なデジタルインタラクションの実現

マイクロソフトでは、プライバシーを深く尊重し、保護し、防御して https://www.microsoft.com/ja-jp/trust-center?rtc=1 おり、プライバシーが最も重要な分野は個人のIdentityだと考えています。
そこで分散型Identityのコミュニティと数年にわたって協力した結果、分散型Identityの標準規格に基づいたMicrosoft Entra Verified ID https://www.microsoft.com/ja-jp/security/business/identity-access/microsoft-entra-verified-id という新製品を発表することになりました。
Verified IDは、移植可能な自己所有型 Identity を実現する業界標準を実装しています。
これは、個人と組織に対し、オープンで信頼でき、相互運用可能な標準規格に対応した分散型Identityの未来を実現するという、当社の取り組みを示すものです。
Verified IDにより、個人や組織は無数のアプリやサービスを幅広く承認したり、Identityに関するデータをさまざまなプロバイダーに拡散したりするのではなく、どの情報をいつ、誰と共有するか、また必要であればその情報を取り戻すか、を自ら決められるようになります。

分散型Identityの潜在的シナリオ https://www.microsoft.com/security/blog/2022/05/31/streamlining-employee-onboarding-microsofts-response-to-the-great-reshuffle/ は無限にあります。
組織の認証情報を1秒以内に証明できれば、企業間取引や企業対顧客の取引をより効率的に、確信を持って実施できます。個人の学歴や認定資格情報をデジタル化して保存し、共有できれば身元調査もより迅速になり、信頼性も高まります。
また、医師と患者の双方が互いの身元を確認し、そのやり取りが完全にプライベートで安全だと確信できれば、健康管理のストレスも軽減されるでしょう。
Microsoft Entra Verified IDは、8月上旬に一般提供される予定です。

「Microsoft Entraのような世界屈指のテクノロジを使い、自社のオフィス環境で従業員にVerified IDを実装できればなんてすばらしいだろうか、と考えました。
仕事の効率化に役立つビジネスチャンスを簡単に見つけることができたのです」
— クリス・テイト（Chris Tate） Chief Executive Officer —Condatis https://customers.microsoft.com/doclink/1508854534910834689-condatis-partner-professional-services-entra-verified-id

■重要なIDガバナンスシナリオの自動化

次に焦点を当てるのは、従業員やパートナーのIdentity Governanceです。
ITチームやセキュリティチームにとって、新規ユーザやゲストアカウントをプロビジョニングし、そのアクセス権を手動で管理するのはとても大変なことです。
これが、IT部門と個人の生産性の両方に悪影響を及ぼすこともあるでしょう。
よくあるケースとしては、新入社員が仕事に必要なアクセス権の入手を待つ間、完全に効果的に働くことができずにいることが挙げられます。
同様に、ゲストユーザに必要なアクセス権を付与するのが遅れると、サプライチェーンがスムーズに機能しなくなってしまいます。また、ユーザーアカウントの再度のプロビジョニングや無効化に関する正式なプロセスや自動化プロセスがなければ、ユーザの役割が変わった場合や退職した際にもアクセス権がそのままになっている可能性があります。

Identity Governance https://www.microsoft.com/ja-jp/security/business/identity-access-management/identity-governance?rtc=1 は、Identity ライフサイクル管理によってこうした課題に対処し、ユーザのオンボーディングプロセスやオフボーディングプロセスを簡素化します。ライフサイクルワークフローによって、ユーザの属性変更に伴うアクセス権の割り当てと管理や、アクセスの監視と追跡が自動化されます。
Identity Governanceのライフサイクルワークフロー機能は、今年7月にパブリックプレビューとして公開される予定です。

「長い間古い技術で後手に対応してきましたが、それは大変なことでした。
(Azure AD Identity Governanceによって、)ようやくプロアクティブな対応ができるようになり、事業サイドからの複雑な要求にも応えられるようになりました」
—サリー・ハリソン（Sally Harrison） Workplace Modernization Consultant—Mississippi Division of Medicaid

■障壁ではなく可能性の創造へ

Microsoft Entraは、モダンでセキュアなアクセスのあるべき姿に対するマイクロソフトのビジョンを具現化したものです。Identityは、新しい可能性の世界への入り口となるべきもので、アクセスを制限し、摩擦を生み出し、イノベーションを阻止するものではありません。
皆様には、探索し、協力し、実験してもらいたいと思っております。それは無謀だからではなく、恐れを知らないからこそできることだからです。

ぜひMicrosoft Entraのウェブサイト http://www.microsoft.com/entra をご覧いただき、Azure ADやMicrosoft Entra Permissions Management、Microsoft Entra Verified IDがいかにしてコネクテッドな世界で安全にアクセスを提供しているかをご確認ください。
また、マイクロソフトのセキュリティに関する詳細は、当社のウェブサイト https://www.microsoft.com/ja-jp/security/ やセキュリティブログ https://www.microsoft.com/security/blog/ をご覧いただくか、Twitter（@MSFTSecurity https://twitter.com/MSFTSecurity ）をフォローすることで最新ニュースやアップデートに関する情報を確認いただけます。

●本ブログの詳細につきましては、日本マイクロソフト広報資料サイトをご覧ください。
https://news.microsoft.com/ja-jp/2022/06/01/220601-secure-access-for-a-connected-worldmeet-microsoft-entra/